In dieser Arbeit soll es darum gehen, was Datenschutz im Unternehmen überhaupt bedeutet und auf welcher Rechtsgrundlage die personenbezogenen Daten erhoben werden sollten. Darüber hinaus wird geprüft, welche Verpflichtungen der Weitergabe, Sicherung und Löschung von personenbezogenen Daten unterliegen. Ebenso sollen die Rechte der Betroffenen und die Strafen bei einem möglichen Verstoß gegen die DS-GVO dargestellt werden. Abschließend werden die Erkenntnisse zusammengefasst und bewertet.
Tatsächlich hat niemand geglaubt, dass in der heutigen Zeit ein Virus wie das Sars-CoV2 / COVID-19 die soziale und wirtschaftliche Gemeinschaft zum Erliegen bringen kann. Auch hätte niemand für möglich gehalten, dass die Grenzen zu einem Europäischen Nachbarland der Bundesrepublik Deutschland jemals noch einmal geschlossen werden. Die Menschen wurden von einem auf den anderen Tag getroffen, von einem Virus, der in kürzester Zeit über alle Länder der Welt gekommen ist. Statt vor Zuschauern findet die Bundesliga unter Ausschluss der Fans statt.
I. INHALTSVERZEICHNIS
II. ABBILDUNGSVERZEICHNIS
III. ABKÜRZUNGSVERZEICHNIS
1 EINLEITUNG - EINFÜHRUNG IN DAS TEHMA
2.1 Datenschutz im Unternehmen
2.2.1 Datenerhebung zur Nachverfolgung gem. derDSGVO
2.2.2 Weitergabe, Sicherung und Löschung von Datensätzen
2.3 Rechte von Betroffenen
3. ZUSAMMENFASSUNG UND STELLUNGNAHME
IV. LTERATURVERZEICHNIS
II. ABBILDUNGSVERZEICHNIS
Abbildung 1: Kette von Zwecken bzw. Aufbewahrungsrechtfertigungen (von Walter 2018, S. 265)
Abbildung 2: Daten Lebenszyklus (von Walter 2018, S. 265)
III.ABKÜRZUNGSVERZEICHNIS
Abbildung in dieser Leseprobe nicht enthalten
1 EINLEITUNG - EINFÜHRUNG IN DAS TEHMA
Tatsächlich hat niemand geglaubt, dass in der heutigen Zeit ein Virus wie das Sars-CoV2 / COVID- 19 (Weltgesundheitsorganisation 2020) die soziale und wirtschaftliche Gemeinschaft zum Erliegen bringen kann. Auch hätte niemand für möglich gehalten, dass die Grenzen zu einem Europäischen Nachbarland der Bundesrepublik Deutschland jemals noch einmal geschlossen werden (o.V. 2021). Die Menschen wurden von einem auf den anderen Tag getroffen, von einem Virus, der in kürzester Zeit über alle Länder der Welt gekommen ist. Statt vor Zuschauer findet die Bundesliga unter Ausschluss der Fans statt. Die Bevölkerung wird aufgefordert, in der Öffentlichkeit FFP2 oder medizinische Masken zu tragen und Menschen müssen Abstand zu anderen Menschen über mind. 1,5 Meter halten. Plötzlich kommunizieren selbst Familien digital und sehr wenig persönlich. Die Bundeskanzlerin Frau Dr. Angela Merkel sprach im März 2020 zu den Menschen in der Bundesrepublik Deutschland. Darin beschrieb Sie die Sars-CoV-2 / COVID-19 Pandemie wie folgt: „Das Coronavirus verändert zurzeit das Leben in unserem Land dramatisch. Unsere Vorstellung von Normalität, von öffentlichem Leben, von sozialem Miteinander - all das wird auf die Probe gestellt wie nie zuvor" (Merkel, 2020). Das Bundesministerium für Gesundheit stuft mit einer Eil- Verordnung am 31.01.2020 das neuartige Coronavirus als meldepflichtige Krankheit gem. § 6 Abs. 1 Satz 1 Nummer 1 des Infektionsschutzgesetzes ein (Bundesministerium für Gesundheit 2020). Die Menschen aller Länder sind verunsichert und niemand weiß mit dieser Situation umzugehen. Es wurden im März 2020 und im November 2020 jeweils für Monate ein „Lockdown" verordnet. (Bundesregierung 2020) Schulen, Kitas, Restaurants und Gaststätten, Hotels und verschiedene Einzelhändler werden per Allgemeinverordnungen der Bundesländer und Gemeinden geschlossen. (Land NRW 2020) Einzelhändler, Restaurants und Gaststätten durften unter Einhaltung strenger Hygieneregeln nach und nach wieder öffnen (Land NRW 2020). Neben den Hygienemaßnahmen war es vor allem aber entscheidend, Infektionsketten nachverfolgen zu können. Wenn die Menschen sich in der Öffentlichkeit aufgehalten haben und in Restaurants etc. gehen wollten, dann mussten die Namen, Adressen und Kontaktdaten der Gäste und Kunden aufgenommen und für mindestens 4 Wochen aufbewahrt werden (RKI 2021). Denn sollte sich ein Gast mit dem neuartigen Sars-CoV- 2 / COVID-19 Virus infiziert haben, so musste nachvollziehbar sein, mit wem der infizierte Gast wann und wo im Kontakt war. Denn gerade Kontaktpersonen wurden angehalten, sich für 14 Tage der Inkubationszeit in Quarantäne zu begeben, damit eine weitere Übertragung an andere Personen eingedämmt werden konnte (RKI 2021). Die Daten wurden sodann von den Gesundheitsämtern bei den Restaurants etc. angefordert. Dies stellte nicht nur die Gastronomen vor große Unsicherheiten insbesondere aufgrund des einzuhaltenden Datenschutzes, ohne sich einem Verstoß gegen die DS- GVO strafbar zu machen.
In dieser Arbeit soll es darum gehen, was Datenschutz im Unternehmen überhaupt bedeutet und auf welcher Rechtsgrundlage sollten und können die personenbezogenen Daten erhoben werden. Darüber hinaus, welche Verpflichtungen der Weitergabe, Sicherung und Löschung von personenbezogenen Daten unterliegen. Ebenso sollen die Rechte der Betroffenen dargestellt werden und die Strafen bei einem möglichen Verstoß gegen die DS-GVO. Abschließend werden die Erkenntnisse zusammengefasst und bewertet.
2 AUSWIRKUNG AUF DEN DATENSCHUTZ IN DER PANDEMIE
2.1 Datenschutz im Unternehmen
Am 04.05.2016 veröffentlichte die Europäische Union die Endfassung der seit 2012 verhandelten DS-GVO. Sie gilt nach einer gut zweijährigen Übergangsfrist ab dem 25.05.2018 und hebt die Datenschutzrichtlinie 95/46/EG auf (Wybitul, 2016, S. 3). Für Unternehmen hatte diese Verordnungen erhebliche Folgen. Neben Schadensersatzklagen drohen nun bei Fehlern Bußgelder von bis zu 4 % des Konzernumsatzes weltweit. Verantwortliche wie Manager, Datenschützer und sonstige Entscheidungsträger sind bei Verstößen mit bis zu 20.000.000 € bedroht (Wybitul 2016, S. 3). Bei Ansicht dieser erheblichen Strafen, die den Unternehmen und den einzelnen Verantwortlichen drohen, zeigt, wie wichtig der Datenschutz im Unternehmen unter dieser Verordnung ist. Mit Unternehmen sind natürliche und juristische Personen gemeint sowie alle Entscheidungsträger in einem Unternehmen sollten sich der Auswirkungen der DS-GVO bewusst sein und wissen, was dies für den alltäglichen Betrieb in Ihrem Unternehmen bedeutet (von Walter 2018, S. 354). Alle Unternehmen und Entscheidungsträgern hilft bei der Umsetzung ein wirksames Datenschutz- Management- System. Der Art. 5 Abs. 2 DS-GVO gibt einen ersten Anhaltspunkt für die Bestimmungen, was ein Datenschutz- Management- System sein könnte (Korge 2019, S. 27). Gemäß Art. 5 Abs. 2 DS-GVO heißt es, dass der Verantwortliche für die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich ist und dies nachweisen muss (Korge 2019, S. 27). In der Literatur werden Datenschutz- Management- Systeme häufig erwähnt und oftmals als die Gesamtheit aller dokumentierten und implementierten Regelungen, Prozesse und Maßnahmen bezeichnet, die dazu dienen, einen datenschutzkonformen Umgang mit personenbezogenen Daten im Unternehmen systematisch zu steuern (Korge 2019, S. 28). Ein gutes Datenschutz- Management- System kann erhebliche Strafen und Schäden von Unternehmen abwenden, in dem es Risiken frühzeitig erkennt und diese vor eintreten identifiziert und behebt (Korge 2019, S. 36). Denn jedes Unternehmen, welches Daten verarbeitet ist Risiken ausgesetzt (Korge 2019, S. 36). Diese können beispielsweise und nicht abschließend in Form von Straf- und Bußgeldverfahren, Organisations- und Beratungskosten, arbeitsrechtliche Maßnahmen, Schadensersatzansprüche von Geschädigten sein (Korge 2019, S. 39). Aber auch erhebliche Rufschädigung eines Unternehmens, welches gegen datenschutzrechtliche Verpflichtungen verstößt, hat eine hohe Brisanz (von Walter 2018, S. 353). Für Juristen ist es bereits schwierig, die Materie zuverlässig zu durchdringen, sind zur Wahrung der Datenschutzkonformität geeignete Maßnahmen zu treffen, die gewährleisten, dass jeder Einzelne, der im Betrieb mit personenbezogenen Daten in Berührung kommt, die Vorgaben der DS-GVO verinnerlicht (von
Walter 2018, S. 353). Die Umsetzung gelingt, wenn ein maßgeschneidertes Konzept zum Datenschutz entwickelt wird. Hier sind beispielsweise folgende Bausteine zu nennen: Planung und Implementierung, Entwicklung von Checklisten, Schaffung von Templates, Einführung bzw. Anpassung einer Datenschutz- Policy und deren Aufnahme in Compliance- Richtlinien. Schaffung von Berichtslinien (von Walter 2018, S. 358). Auf etwaige Rechtsfolgen eines Verstoßes gegen die DS-GVO wird im späteren Verlauf dieser Arbeit nochmals eingegangen.
2.2 Rechtsgrundlage der Datenerhebung zur Nachverfolgung von Infektionsketten
Durch die Corona Schutzverordnungen der Bundesländer wurde wie hier am Beispiel für Nordrhein Westfalen in der Anlage Hygiene- und Infektionsschutzstandards zur CoronaSchutzVO NRW vom 30.05.2020 unter Punkt römisch 1, Punkt 4 Folgendes der Gastronomie auferlegt, welche besonders betroffen von den Corona- Regelungen war (Brink 2020, S. 12): „Kundenkontaktdaten der Gäste sowie Zeiträume des Aufenthaltes in der Innen- und Außengastronomie sind für jede Tischgruppe - unter Einholen des Einverständnisses - nach § 2 a Absatz 1 der CoronaSchVO zu erheben. Dabei ist ausdrücklich eine einfache, auf den Tischen ausliegender Liste (einschließlich Einverständniserklärung zur Datenerhebung) für jede den Tisch nutzenden Personengruppe ausreichend“ (Land NRW 2020). Für alle Gäste, welche nicht die Kontaktdaten den Gastronomen übermitteln wollten, musste der Gastronom diese mittels seines Hausrechts der Gastronomie verweisen. Dies war jedoch nicht überall einheitlich so, denn in der CoronaSchVO von BadenWürttemberg war dies nicht so eindeutig geregelt. Selbst wenn der Gast seine Daten nicht zur Verfügung stellen wollte, durfte der Gastronom den Kunden weiter bedienen und musste diesen nicht abweisen, denn es gab hier keine datenschutzrechtliche Verpflichtung, die Kontaktdaten aufzunehmen (Suliak 2020). Datenschutz ist ein hohes gut und Grundrecht, welches in Art. 2 Abs. 1 in Verbindung mit dem Grundrecht Art 1 Abs. 1 geschützt wird (BVerfG Urteil vom 15.12.1983 - 1 BvR 209/83). Jedoch hat auch jeder Mensch das Grundecht gem. Art. 2 Abs. 2 GG auf körperliche Unversehrtheit. Der Datenschutz verhindert den Gesundheitsschutz nicht. Er gibt ihm allerdings Grenzen. Diese Grenzen bestehen dort, wo eine Maßnahme zum Schutze des einen Rechtsguts (Gesundheit) das andere Rechtsgut (Datenschutz) unverhältnismäßig verletzt. Hier sind die Sichtweisen in der EU unterschiedlich. Es darf nicht zu einem „entweder oder“ in der Gestalt Datenschutz versus Gesundheitsschutz kommen. Datenschutz und Gesundheitsschutz müssen gleichermaßen berücksichtigt werden (Schefold/Winter 2020). Dies dürfte durch die Verordnungen zum Schutz vor Corona jedoch durch Art. 6 Abs. 3 lit. c gewährleistetest sein. Dort heißt es: An eine rechtliche Verpflichtung auf Landesrecht sind keine besonderen Anforderungen des betreffenden Rechts zu stellen. Dies kann auf Gesetz-, Verordnungs- oder Satzungsrecht beruhen (Schwartmann/Jacquemain 2020, S. 193). Die Datenverarbeitung ist dann zu bejahen, wenn diese zum Schutz lebenswichtiges Interesse der betroffenen Person oder einer anderen natürlichen Person erforderlich ist. Die Datenverarbeitung muss unumgänglich sein und die entsprechenden Interessen muss abgewogen sein (Schwartmann/Jacquemain 2020, S. 194).
2.2.1 Datenerhebung zur Nachverfolgung gem. der DSGVO
Die Datenerhebung der personenbezogenen Daten wie Name und Vorname, Adresse, Telefonnummer erfolgte auf der Grundlage des Art. 6 Abs. 1 S. 1 lit c, Abs. 3 DS-GVO. In Art. 6 Abs. 1 S. 1 heißt es wie folgt: Ist eine Datenverarbeitung dann rechtmäßig, wenn sie zur Erfüllung einer Rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt (Schwartmann/Jacquemain 2020, S. 192). Eine rechtliche Verpflichtung muss eine Verpflichtung kraft objektiven Rechts sein. Insbesondere eine vertragliche Verpflichtung reicht nicht aus (Schwartmann/Jacquemain 2020, S. 193). Die Daten müssen jedoch auch personenbezogen sein, um in den Anwendungsbereich zu fallen, dies ist anzunehmen, wenn sie sich auf eine identifizierte natürliche Person beziehen. (Voigt/von dem Bussche 2018, S. 13). Gastronomen, welche besonders betroffen von der Datenerfassung waren, hatten teilweise zu viele Daten von den Gästen angefordert oder einzig Sammellisten ausgelegt, wodurch jeder Gast alle Daten der anderen Gäste sehen konnten (Brink 2020, S. 13). Gemäß der Artikel 24, 25 und 32 DS-GVO müssen die Daten der Gäste vor unbefugter Einsichtnahme geschützt verwahrt werden (Brink 2020, S. 13). Der Gastronom ist jedoch nicht verpflichtet, die Richtigkeit der angegebenen Personalien zu überprüfen. Dazu hat er ohnehin nur eine eingeschränkte Möglichkeit, er ist einzig dazu verpflichtet, Personen, welche teilweise oder ganz die Angabe verweigern, nicht als Gast zu akzeptieren und anhand seines Hausrechts den Gast abzuweisen (Brink 2020, S. 14). Bewusst falsche Angaben eines Gastes können zu einem Bußgeld für den Gast führen, da die Kontaktverfolgung eine ernste Notwendigkeit zur Kontaktverfolgung ist (Brink 2010, S. 14). Darüber hinaus ist der Gastronom dazu verpflichtet, gem. Art. 13 DS-GVO den Gast vor der Erhebung personenbezogener Daten über den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters, Kontaktdaten des Datenschutzbeauftragten, den Zweck der Datenerhebung, die Empfänger oder auch mögliche Empfänger der Daten, ob der Verantwortliche die Daten an ein Drittland oder Organisation weitergeben möchte. Weiter die Dauer der Speicherung, das Recht auf Änderung und Löschung der Daten und des Widerspruchs der Verarbeitung, die Rechtsgrundlage muss dem Gast ersichtlich sein. Sollte der Verantwortliche beabsichtigen, die Daten des Gastest noch zu einem anderen als den vorgesehenen Einsatz zu nutzen, so ist der Gast vor der Einwilligung darüber zu informieren und diesem Zweck muss er zustimmen. Grundsätzlich ist bei der Erfassung von Daten das Prinzip der Datenminimierung zu beachten. Dies bedeutet, dass nur die personenbezogenen Daten erhoben und verarbeitet werden dürfen, welche für den verfolgten Zweck erheblich und angemessen sowie auf das Maß Notwendige beschränkt ist (Voigt/von dem Bussche 2018, S. 117)
2.2.2 Weitergabe, Sicherung und Löschung von Datensätzen
Personenbezogene Daten werden immer mehr erhoben und in erheblichen Mengen erfasst, verarbeitet und gespeichert. Diese Daten dürfen grundsätzlich zunächst nicht weitergegeben werden. Das LG Düsseldorf hat in einer Entscheidung aus 2017 entschieden, dass eine Weitergabe personenbezogener Daten eine Verletzung des Persönlichkeitsrechts darstellt, wenn die Weitergabe nicht von der betreffenden Person gestattet wurde (LG Düsseldorf, Urteil vom 20.02.2017, Az. 5 O 400/16). Die während der Corona Pandemie von Gastronomen erhobene Daten weckten auch Begehrlichkeit bei Behörden wie der Polizei und Staatsanwaltschaft zu Ermittlungen von Straftaten. Dieses Vorgehen war nicht unkritisch, da sich die Zweckbindung der Daten nur in einer Landesverordnung geregelt war. Die Zweckbindung kann in einzelnen Fällen durchbrochen werden, wenn es zur Strafverfolgung erforderlich ist (Brink 2020, S. 14). Grundsätzlich müssen Unternehmen, welche Daten weitergeben, prüfen, ob dies zulässig gem. Art. 6 DS-GVO ist. Gerade im vorliegenden Fall der Kontaktverfolgung in der Pandemie stellten sich zahlreiche Herausforderungen im Hinblick auf die Weitergabe von personenbezogenen Daten an Behörden. So statuiert die CoronaSchVO NRW, dass zu Zwecken der Infektionsbekämpfung für Personen, die Begegnungsstätten eröffnen, die rechtliche Verpflichtung besteht, eine Rückverfolgbarkeit der anwesenden Personen zu gewährleisten. In NRW formt die CoronaSchVO die Anforderungen nach Art. 6 Abs. 1 S. 1 lit. C im Einklang mit ErwG 41 weiter aus (Schwartmann/Jacquemain 2020, Seite 176). Alle gespeicherten personenbezogene Daten müssen gegen Zugriff Dritter geschützt werden. Das Prinzip der Speicherbegrenzung lautet: Daten nur solange zu speichern, wie es für den Zweck erforderlich ist (von Walter 2018, S. 263). Art. 5 Abs. 1 lit. e) DS-GVO normiert die Speicherbegrenzung von personenbezogenen Daten. Danach müssen diese in einer Form gespeichert werden, die die Identifizierung der Betroffenen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Korge 2019, S. 52). Der Verantwortliche ist für die Frist und Überwachung der Frist verantwortlich. Wie lange diese Frist ist, verrät der Gesetzgeber nicht (Korge 2019, S. 52). Gem. Art. 5 Abs. 1 lit. e) entfällt die Zweckbindung, wenn ein öffentliches Interesse an der Speicherung gegeben ist, dies kann beispielsweise wissenschaftliche, historische oder statistische Werte haben (Korge 2019, S. 52). In Art. 32 DS-GVO ist bestimmt, dass der Verantwortliche geeignete und technische sowie organisatorische Maßnahmen ergreifen muss, um ein angemessenes Schutzniveau bei der Datenverarbeitung zu gewährleisten (Korge 2019, S. 58). Die personenbezogenen Daten dürfen wie oben beschrieben nur solange gespeichert werden, wie dies für den Zweck erforderlich ist. Danach müssen die Daten gelöscht werden. Unternehmen sollten nach dem Grundsatz, dass der Zweckfortfall bzw. der entfällt der Rechtfertigung zur Speicherung aus Art. 6 DS-GVO eine Löschpflicht auslöst, für Ihre Datenkategorien und für eine Kette von Zwecken bzw. Aufbewahrungsrechtfertigungen geben (von Walter 2018, S. 265). Ein Beispiel zum lösch Prozess an Axel von Walter, Datenschutz im Betrieb 2018, S.265.
[...]